情報セキュリティ(6)　経営者がやるべきこと②　7つの取り組み

情報セキュリティ対策として、経営者は、以下の重要7項目について取り組むべきです。

1. 情報セキュリティに関する組織全体の対応方針を定める
経営者の意思表示として、情報セキュリティを重視することを従業員や取引先に示すために、自社に適した情報セキュリティに関する基本方針を定め、宣言します。

2. 情報セキュリティ対策のための予算や人材などを確保する
情報セキュリティ対策のためには、一定の費用と人材が必要です。事故対応や予防策も含め、必要な予算・人材確保を行います。

3. 必要と考えられる対策を検討させて実行を指示する
想定されるリスクと被害を想定し、対策を立てるよう、責任者に指示します。対策は社内ルールとして文書化、定期的な報告もするなど、具体的に指示します。

4. 情報セキュリティ対策に関する適宜の見直しを指示する
情報セキュリティ対策の実施状況をモニタリングすると共に、環境変化に対応して基本方針や社内ルールなどの見直しを適宜行います。サイバー攻撃は日々進化していますので、常に見直すことが肝要です。

5. 緊急時の対応や復旧のための体制を整備する
サイバー攻撃は防御が重要ですが、万一攻撃されて被害が発生したり、事故によりサービスが停止した場合などに備え、予め緊急時対応の方法や体制を取り決め、ルール化しておきます。事故が起こってからどうするかを考える時間的余裕がないのがほとんどのケースですので、事前の検討が重要です。

6. 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
業務を外部委託する場合、委託先でも自社同様の対策が必要です。委託先と情報セキュリティに関する取り決めを行い、合意する必要があります。

7. 情報セキュリティに関する最新動向を収集する
情報技術の進化の速さから、サイバー攻撃の手口もどんどん変化します。自社だけで情報収集するのは困難なので、情報セキュリティに関する最新情報を発信する公的機関や団体から、適宜情報セキュリティに関する情報を受けるようにします。